Hace apenas unos años, sólo un puñado de profesionales de IAM sabían qué era una cuenta de servicio. En los últimos años, estas cuentas silenciosas de identidad no humana (NHI) se han convertido en una de las superficies de ataque más específicas y comprometidas. Las evaluaciones muestran que las cuentas de servicio comprometidas desempeñan un papel clave en el movimiento lateral en más del 70% de los ataques de ransomware. Sin embargo, existe una sorprendente disparidad entre el riesgo y el impacto potencial de una cuenta de servicio comprometida y las medidas de seguridad disponibles para mitigar este riesgo.
Este artículo explica por qué las cuentas de servicio son un objetivo tan atractivo, por qué están fuera del alcance de la mayoría de los controles de seguridad y cómo un nuevo enfoque para la seguridad de identidad unificada puede ayudar a prevenir el compromiso y el abuso de las cuentas de servicio.
Cuenta de servicio Active Directory 101: identidades no humanas utilizadas para M2M
En un entorno de Active Directory (AD), las cuentas de servicio son cuentas de usuario que no están asociadas con humanos, pero que se utilizan para la comunicación de máquina a máquina. Creado por administradores para automatizar tareas repetitivas o durante el proceso de instalación del software local. Por ejemplo, si tiene EDR en su entorno, hay una cuenta de servicio que es responsable de recuperar actualizaciones para el agente EDR en terminales y servidores. Además de ser un NHI, una cuenta de servicio no es diferente de cualquier otra cuenta de usuario en AD.
¿Por qué los atacantes atacarían las cuentas de servicio?
Los atacantes de ransomware aprovechan las cuentas AD comprometidas (preferiblemente cuentas privilegiadas) para realizar movimientos laterales. Los atacantes de ransomware realizan este movimiento lateral hasta que logran un punto de apoyo lo suficientemente fuerte como para cifrar varias máquinas con un solo clic. Los atacantes normalmente obtienen acceso a un controlador de dominio u otro servidor utilizado para la distribución de software y explotan recursos compartidos de red para ejecutar cargas útiles de ransomware en tantas máquinas como sea posible.
Aunque cualquier cuenta de usuario es adecuada para este fin, las cuentas de servicio son mejores por los siguientes motivos:
altos privilegios de acceso
La mayoría de las cuentas de servicio se crean para acceder a otras máquinas. Esto necesariamente significa que tiene los privilegios de acceso necesarios para iniciar sesión en estas máquinas y ejecutar su código. Esto es exactamente lo que buscan los actores de amenazas, ya que comprometer estas cuentas les da acceso y ejecución de cargas útiles maliciosas.
mala visibilidad
El personal de TI y de IAM conoce algunas cuentas de servicio, especialmente aquellas asociadas con el software instalado localmente. Sin embargo, muchos son creados sin documentación y ad hoc por personal de TI y de identificación. Esto hace que mantener un inventario de cuentas de servicio monitoreadas sea casi imposible. Esto es conveniente para los atacantes, quienes tienen muchas más probabilidades de comprometer y explotar una cuenta no monitoreada sin ser detectados por la víctima del ataque.
Falta de controles de seguridad.
Las medidas de seguridad comunes utilizadas para evitar el compromiso de la cuenta son MFA y PAM. MFA no se puede aplicar a cuentas de servicio porque no son humanas y no tienen un teléfono, token de hardware u otros factores adicionales que puedan usarse para verificar su identidad además de un nombre de usuario y contraseña. Las soluciones PAM también tienen dificultades para proteger las cuentas de servicio. La rotación de contraseñas, el principal control de seguridad utilizado por las soluciones PAM, no se puede aplicar a las cuentas de servicio debido al riesgo de fallas de autenticación e interrupción de los procesos críticos que administran. Esto deja la cuenta de servicio efectivamente desprotegida.
¿Quiere obtener más información sobre cómo proteger las cuentas de servicio? Lea el libro electrónico Superar los puntos ciegos de seguridad de las cuentas de servicio para obtener más información sobre los desafíos de proteger las cuentas de servicio y obtener orientación sobre cómo abordar estos problemas.
La realidad es que todas las empresas, independientemente de su industria o tamaño, son víctimas potenciales.
Alguna vez se dijo que el ransomware era un gran dispositivo democratizador que no discrimina a sus víctimas por ninguna característica. Esto es más cierto que nunca cuando se trata de cuentas de servicio. En los últimos años, hemos investigado incidentes que ocurren en empresas con entre 200 y 200.000 empleados en las industrias financiera, manufacturera, minorista y de telecomunicaciones. En 8 de cada 10 casos, los intentos de movimiento lateral del ransomware implicaron comprometer cuentas de servicio.
Como siempre, es mejor que los atacantes nos digan dónde están nuestros puntos más débiles.
Solución Silverfort: plataforma de seguridad de identidad unificada
Una nueva categoría de seguridad llamada seguridad de identidad ofrece el potencial de subvertir la libertad que tradicionalmente han disfrutado los adversarios sobre las cuentas de servicio. La plataforma de seguridad de identidad de Silverfort se basa en una tecnología única que permite visibilidad continua, análisis de riesgos y aplicación activa de toda la autenticación de AD, incluida la autenticación por cuentas de servicio.
Echemos un vistazo a cómo se puede utilizar esto para evitar que los atacantes lo utilicen para acceso malicioso.
Protección de la cuenta del servicio Silverfort: descubrimiento, creación de perfiles y protección automáticos
Silverfort permite a los equipos de identidad y seguridad mantener seguras las cuentas de servicio mediante:
detección automática
Silverfort revisa y analiza todas las autenticaciones de AD. Esto permite que el motor de IA identifique fácilmente cuentas que exhiban el comportamiento determinista y predecible característico de las cuentas de servicio. Después de un breve período de aprendizaje, Silverfort proporciona a los usuarios un inventario completo de cuentas de servicio, incluidos niveles de privilegios, fuentes y destinos, y otros datos que mapean el comportamiento de cada cuenta.
análisis de comportamiento
Silverfort define una línea de base de comportamiento para cada cuenta de servicio identificada, incluidos los orígenes y destinos utilizados normalmente. El motor de Silverfort aprende y mejora continuamente esta línea de base para capturar el comportamiento de la cuenta con la mayor precisión posible.
cercado virtual
Silverfort crea automáticamente políticas para cada cuenta de servicio basadas en líneas de base de comportamiento. Esta política activa acciones de protección cuando una cuenta se desvía del comportamiento estándar. Esta acción puede ser una simple advertencia o un bloqueo completo de acceso. De esta manera, incluso si las credenciales de la cuenta de servicio están comprometidas, un atacante no puede usarlas para acceder a ningún recurso que no sean los incluidos en la línea base. Los usuarios de Silverfort simplemente habilitan la política sin ningún esfuerzo adicional.
En pocas palabras: ahora es el momento de actuar. Asegúrese de que su cuenta de servicio esté protegida
Es mejor obtener la cuenta de servicio antes que el atacante. Ésta es la verdadera línea de frente de las amenazas actuales. ¿Existe alguna manera de verificar, monitorear y proteger las cuentas de servicio para que no se vean comprometidas? Si la respuesta es no, es solo cuestión de tiempo antes de que se sumen a las estadísticas de ransomware.
¿Quiere obtener más información sobre la protección de la cuenta de servicio de Silverfort? Visite nuestro sitio web o comuníquese con nuestros expertos para una demostración.
¿Te pareció interesante este artículo? Este artículo es una contribución de nuestros valiosos socios. Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.
https://thehackernews.com/2024/09/wherever-theres-ransomware-theres.html
